LCMを使用したDSEセキュリティの管理

DataStax Enterpriseクラスターの認証は、Lifecycle Manager構成プロファイルでデフォルトで有効になっています。

認証

DataStax Enterpriseクラスターの認証は、Lifecycle Manager構成プロファイルでデフォルトで有効になっています。DSEバージョン5.0より前のサポートされているDSEバージョン用に作成された構成プロファイルでは、デフォルトで[PasswordAuthenticator]オプションが有効になります。DSEバージョン5.0以降用に作成された構成プロファイルでは、デフォルトでDSEオーセンティケーターが使用されます。

以下のリンクでは、cassandra.yamlの使用可能なセキュリティ・オプションの詳細を確認できます。

ノード間の暗号化

Lifecycle Managerでは、DataStax Enterpriseクラスターがノード間の暗号化を使用するよう構成できます。この機能は、デフォルトで無効になっています。LCMの構成プロファイルを使用してノード間の暗号化を有効にする段階的な手順については、「LCMを使用したDSE用のSSL/TLSの構成」を参照してください。

internode_encryptionを有効にすると([Config Profile]の[cassandra.yaml]の[Security]パネルで値alldc、またはrackを選択します)、Lifecycle Managerは、内部認証局を使用するSSL証明書の設定プロセスを自動化し、生成されるキーストアとトラストストアを各ノードに自動的にデプロイします。インストール・ジョブと構成ジョブを実行する以外のアクションは必要ありません。

重要: 既存のクラスターでノード間の暗号化を有効にすると、クラスターで転送中にネットワーク・パーティションが発生し、整合性が一時的に失われます。可能であれば、クラスターを最初に作成するときにノード間の暗号化を使用するかどうかを選択してください。

クライアントとノード間の暗号化

Lifecycle Managerでは、DataStax Enterpriseクラスターがクライアントとノード間の暗号化を使用するよう構成できます。このオプションは、デフォルトで無効になっています。LCMの構成プロファイルを使用してクライアントの暗号化を有効にする段階的な手順については、「LCMを使用したDSE用のSSL/TLSの構成」を参照してください。

クライアントとノード間の暗号化を有効にすると([Config Profile]の[cassandra.yaml]の[Security]パネルで[client_encryption_options][Enabled]を選択します)、Lifecycle Managerでは、ノード間の暗号化と同じように、サーバー証明書の準備プロセスが自動化されます。

Lifecycle Managerで内部認証局を使用しない場合は、ノード間の暗号化で説明したように、キーストアとトラストストアを手動でデプロイできます。

ドライバー、cqlsh、その他のCQLクライアントを、クラスターとノード間の暗号化が有効になっているクラスターに接続するには、通常、適切な証明書を信頼するように事前に構成する必要があります。このプロセスは、CQLクライアントごとに異なり、Lifecycle ManagerではCQLクライアントは自動的に構成されません。クライアントとノード間の暗号化を有効にしたら、CQLクライアントが適切な証明書を使用するように構成します。
注: [client_encryption_options][require_client_auth]を有効にすると、LCM制限事項により特別な手順を実行する必要があります。詳細については、ナレッジ・ベース記事を参照してください。

LCMによって生成された内部認証局

証明書を手動で準備してデプロイするプロセスは、セキュリティ機能の使用を妨げる可能性があります。デプロイを簡略化するには、Lifecycle Managerにより必要に応じて内部認証局を使用して証明書を生成します。
  • Lifecycle Managerを初めて起動すると、自己署名による2048ビットのRSA認証局が作成され、opscenterd.conf[lifecycle_manager].cacerts_directoryに格納されます。
  • インストール・ジョブまたは構成ジョブを実行する場合、Lifecycle Managerでは、必要に応じてノードごとにキーストアとトラストストアが生成されます。ノード間の暗号化またはクライアントとノード間の暗号化を有効にしている場合に、構成プロファイルで指定された場所に既存のキーストアまたはトラストストアがないと、証明書の生成が行われます。
  • ノードごとにキーストアが生成されると、Lifecycle Managerは、ノードに対する証明書の署名要求を作成し、内部認証局により要求に署名して、生成された証明書をJKS形式のキーストアにパッケージ化します。
  • ノードごとにトラストストアが生成されると、Lifecycle ManagerはCA証明書をJKS形式のトラストストアにパッケージ化します。すべてのクラスターにあるすべてのノードの証明書の署名に同じCAが使用されるため、自動的に生成されたすべての証明書を検証できます。

LCM以外で生成された証明書の使用

LifeCycle Managerの外部の商用またはエンタープライズ認証局を使用して、DataStax Enterpriseサーバーの証明書を生成する場合もあります。
  1. インストール・ジョブまたは構成ジョブを実行する前に、Lifecycle Managerの外部で各ノードのキーストアとトラストストアを準備します。
  2. scp、rsync、その他のファイルのデプロイ方法を使用して、それぞれのDataStax Enterpriseサーバーに適切なキーストアとトラストストアをデプロイします。キーストア・ファイルは通常、/etc/dse/keystores/ディレクトリーにデプロイします。
  3. キーストアとトラストストアのパスが、上記のようにファイルがデプロイされている場所を指すように、Lifecycle Managerで構成プロファイルを編集します。たとえば、/etc/dse/keystores/server.keystore/etc/dse/keystores/server.truststoreなどです。
  4. キーストアとトラストストアのパスワードを使用してDataStax Enterpriseが手動でデプロイされたファイルのロックを解除できるように、Lifecycle Managerで構成プロファイルを編集します。
  5. インストール・ジョブまたは構成ジョブを実行します。ジョブを実行すると、Lifecycle Managerにより、指定したデプロイ済みのキーストアとトラストストアを使用するようにそれぞれのDataStax Enterpriseサーバーが構成されます。DataStax Enterpriseサーバーに既存のキーストアとトラストストアが見つかると、Lifecycle Managerでは内部認証局を使用した証明書の準備を行いません。

opscenterd.conf

opscenterd.confファイルの場所は、インストールのタイプによって異なります。

  • パッケージ・インストール:/etc/opscenter/opscenterd.conf
  • tarボール・インストール:install_location/conf/opscenterd.conf